前言 漏洞介绍 使用Trufflehog插件发现AK/SK 访问一个网站,若存在AK/SK,trufflehog就会弹窗提示,我本次没有弹窗,在trufflehog插件的findings查看。 下载js,优化格式查看,ak、sk、Bucket均有 腾讯oss网页版登陆测试,成功访问 登录进去可以看到里面的存储文件 若网站采用异步加载,该方法也是有效的。 利用Trufflehog扫描 首先将整个网页下载本地,放入一个文件夹中 使用trufflehog常规扫描:./trufflehog filesystem --directory=./sit 通过所在的js文件,搜索泄露的AK/SK找到具体位置 使用OSS浏览器配置AK/SK信息,选择区域 然后就可以浏览所有的文件了 ps:若网站采用异步加载,该方法无效。 利用Packer Fuzzer 扫描 packer fuzzer直接扫描 python3 PackerFuzzer.py -u url -l zh -t adv 代理到burp保存后扫描 工具推荐